Показано с 1 по 10 из 10.

Загадка уведомлений Outpost'a о запросах входящих соединений.

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2008
    Сообщений
    14
    Вес репутации
    33

    Загадка уведомлений Outpost'a о запросах входящих соединений.

    Приветсвую всех участников этого крайне полезного форума!

    Прошу помощи в разьяснении:

    Система Microsoft Windows XP Professional версия 2002 SP3 (оригинальный)

    Стоит Outpost Firewall Pro 2009 Версия 6.5... Режим обучения.

    Так вот время от времени (2 раза за 1 час точно, иногда по 5 за 20 минут) появляются сообщения/предупрежения о том что:

    Generic Host Process for Win32 Services
    Приложение запрашивает входящее соединение

    Процесс: C:\WINDOWS\system32\svchost.exe

    Удалённый адрес: 192.168....., DCOM (TCP:135)

    Outpost Firewall Pro должен:
    - Разрешить любую активность этому приложению
    - Блокировать любую активность этого приложения
    - Создать правило на основе стандартных

    (кнопки)
    Разрешить однократно Блокировать однократно ОК
    Удалённые адреса - почти всегда локальные, порядка 10 - 15 штук, т.е. одни и теже. Изредка добавляются новые. Частота таких запросов у всех разная.
    Пару раз были внешние адреса, так же на DCOM (TCP:135).

    Ещё несколько раз были внешние адреса, с так же входящим соединением, но на UPD:1900.

    В каждом случае я нажимаю "Блокировать однократно".
    Никаких сбоев или изменений в работе компьютера при этом не замечаю.

    Самое интересное, что правила для таких случаев уже есть, а эти уведомления всё равно вылазят, я уже и сам правила создавал - толку 0.

    Звонил в тех. поддержку провайдера, обьяснил ситуацию, представил список адресов, попросил обьяснить что это.
    Общался с 4 людьми - все говорят разные вещи.
    Один говорит - вирусы это ломятся, запрещайте!
    У другого - безобидные проги - разрешайте!
    Третий - интернет перестанет работать, ничего не трогайте!
    4ый - вообще без понятия что происходит.


    Искал в сети ответ на мой вопрос - плюрализм мнений такого же размаха.

    Регулярно проверяюсь сканером Dr.Web'a, AVZ - всё чисто.

    Так вот вопрос: Что это за входящие соединения, и что с ними делать?

    П.С.: Извиняюсь если не в тот раздел, ибо я не знаю куда лучше поместить эту тему. Этот раздел показался мне наиболее близким.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    375
    Помоему по такому порту эта служба не должна работать. У меня эта служба раз вылезла в инет и я про нее забыл. Если запретишь, может пропасть интернет. Сделайте как тут написано, я думаю, что вирус

  4. #3
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.11.2008
    Адрес
    Россия
    Сообщений
    20
    Вес репутации
    0
    На ХР 135-й порт можно закрыть раз и навсегда. Инет будет, с чего бы ему от этого пропадать.
    wwdc.exe попробуйте, тулза закроет порт, и не только этот 135-й.
    Последний раз редактировалось bse; 27.12.2008 в 22:13.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.12.2008
    Сообщений
    45
    Вес репутации
    61
    Jack D., вы находитесь в локальной сети?
    192.168.....
    это адреса роутера

    Звонил в тех. поддержку провайдера, обьяснил ситуацию, представил список адресов, попросил обьяснить что это.
    и что они ответили? скорее всего идут запросы именно от них.
    значит так, сейчас попытаюсь описать здоровый ход этого дела
    для начала закройте все браузеры, аськи и все что постоянно висит в интернете . снесите все настройки вашего аутпоста по Generic Host Process for Win32 Services, после этого запускайте ваш браузер. первый аллерт по этому делу обязательно пропускайте, в противном случае у вас действительно не будет интернета, последующие (примерно от 5 до 8 аллертов) блокируйте однократно. после этого должна быть "тишина" на эту сессию фаервола. вы должны понимать, что однократный пропуск по аллерту не создает правила, а посему действителен только для единичного случая, то бишь, если в запросе хоть что-то изменится (достаточно последней цифры ай-пи) то последует новый аллерт. есть доверенная зона, а именно ваша сеть, а есть интернет.
    AVZ - всё чисто.
    если вы так плотно пользуетесь авз, то скорее всего сама авз вам сообщила об опасных службах, разрешенных на вашем компьютере и вы их закрыли. не так ли? если нет, то это тоже часть ответа на ваш вопрос

  6. #5
    Junior Member Репутация
    Регистрация
    23.12.2008
    Сообщений
    14
    Вес репутации
    33
    Спасибо всем откликнувшися!
    По порядку:

    Про присутствие на моём компьютере зловредов я грешу в последнюю очередь.
    Т.к. всё чисто и постоянно проверяется. Если конечно не что-то из ряда вон выходящее и не опознающееся.

    senyak, служба эта как раз работает по такому порту и это, как тут напомнили Удаленный Вызов Процедур (RPC) и Удаленный Помощник (DCOM).

    seb, спасибо!

    megadat, да, я в локальной сети.
    И знаю, что 192.168..... - это локальные адреса.
    Поэтому собственно и звонил в тех.поддержку.
    А сказали мне (см.1 сообщение)
    Общался с 4 людьми - все говорят разные вещи.
    Один говорит - вирусы это ломятся, запрещайте!
    У другого - безобидные проги - разрешайте!
    Третий - интернет перестанет работать, ничего не трогайте!
    4ый - вообще без понятия что происходит.
    На счёт AVZ - пользуюсь не плотно и службы в ней не запрещал.
    Ненужные службы отключал вручную через администрирование.

    Сейчас залез в Outpost смотрю правила для svchost.exe, там ктам нет почему-то правил по блокировке входящих соединений на 135 порт.
    Мистика, своими глазами видел эти правила, которые и уже были и которые я добавлял сам, сейчас ничего этого нет... Правда эти правила мне показывались при открытии этого предупреждения (о вход.соединениях на 135 порт), когда переходишь сразу на создание правил.

    Сейчас создал правило через настройки, посмотрим что будет.
    Если продолжиться - закрою порт через предложенную sebом прогу.

    И всё таки интересно, что это за соединения?
    И как узнать безобидные ли это проги или дествительно гадость какая-то ломится?

    И кстати удалённый помошник обращается по входящие TCP-соединения на порт 3389 для процесса C:\WINDOWS\system32\sessmgr.exe. (взято от сюда http://www.computerra.ru/gid/rtfm/system/245869/)

    И кто из рядовых юзеров будет так часто пользоваться этим помошником или вызовом удалённых процедур?
    Помойму им вообще никто не пользуется.

    И тут вот ещё прокоментируйте пожалуста:
    Такие запросы на 135 порт приходили и с "внешки".
    И приходили запросы о входящих соединениях на UPD:1900, тоже с "внешки".
    Что это?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.12.2008
    Сообщений
    45
    Вес репутации
    61
    Jack D. я же все вам попыталась объяснить )
    Мистика, своими глазами видел эти правила, которые и уже были и которые я добавлял сам, сейчас ничего этого нет... Правда эти правила мне показывались при открытии этого предупреждения (о вход.соединениях на 135 порт), когда переходишь сразу на создание правил.
    это не мистика, это то, что я вам говорила, а именно, что при блокировке однократно
    вы должны понимать, что однократный пропуск по аллерту не создает правила
    не создаются правила, в этом случае фаер запоминает конкретный аллерт на текущей сесии. при ребуте/выключении компьютера/фаера текущая сессия сбрасывается и начинается новая, а значит свистопляска с аллертами тоже начнется по новой.
    Сейчас создал правило через настройки, посмотрим что будет.
    Если продолжиться - закрою порт через предложенную sebом прогу.
    по идее должна быть тишина, а вот если вы находитесь в локалке, то заткнуть все что вы хотите будет проблематично, если у вас открыта доверенная зона, в вашем случае локалка
    На счёт AVZ - пользуюсь не плотно и службы в ней не запрещал.
    Ненужные службы отключал вручную через администрирование.
    при следующем сканировании обратите внимание на то, что именно пишет авз в конце, я имею ввиду список потенциально опасных служб. если авз не предоставит список и подобных служб не обнаружит, то тогда уже и начнем думать о плохом наверно)

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2008
    Сообщений
    14
    Вес репутации
    33
    Это ад!=)

    Через настройки создал правила:

    В Брандмауэр - Правила для приложений - SVCHOST.EXE

    *Блокировать Входящее TCP на DCOM для SVCHOST.EXE

    Потом нашёл ещё вкладку с сетевыми правилами - системные правила.
    Там есть 2 типа правил:
    1) Применяемые ДО правил для приложений.
    2) Применяемы ПОСЛЕ правил для приложений.

    И там и там я создал *Блокировать Входящее TCP на DCOM

    Те. я создал аж 3 правила везде где только можно и передвинул их в самый верх списка.

    Но предупреждения всё равно появляются...

    Но тут вот ещё какое дело.
    В окне создания приложений для СВЦХОСТ.ЕХЕ например есть вкладка Параметры.
    Там у меня такие настройки:

    При переключении приложения в полноэкранный: Спрашивать (Перейти в Игровой режим, Не переходить в Игровой режим)
    Доступ к rawsocket: Спрашивать (Разрешить, Блокировать)
    Фильтрация содержимого: Использовать глобальные настройки (Включить фильтрацию, Не осуществлять фильтрацию)

    В скобочках возможные варианты.

    Может здесь что-то изменить?

    И ещё по поводу зловредов у меня: Я 3 раза уже форматировал диск С, на который ставил Винду. Правда 2 других раздела оставались без изменений.
    (Жёсткий диск один, разбит через БИОС).
    Поэтому врятли там что могло остаться. Если только при первом подключении к интернету. И этот зловред ничего не может определить...
    В общем маловероятная ситуация.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    220
    Jack D.
    UDP 1900 - Служба SSDP (Simple Service Discovery Protocol) включает обнаружение UPnP-устройств в сети (SSDP Discovery) - отключить.
    И всё-таки последуйте совету seb относительно wwdc.exe - почвы для "кошмарных" предположений изрядно поубавится.

  10. #9
    Junior Member Репутация
    Регистрация
    29.12.2008
    Сообщений
    1
    Вес репутации
    33
    Jack D., испытывал аналогичную проблему с Outpost'ом
    пока искал в чем дело, поудалял с компьютера все вирусы, это вроде как не очень помогло, сообщения все равно появлялись... потом заглянул в Outost'е в журнал событий в радел "Контроль Anti-Leak" и обнаружил там мноежство записей типа

    21:04:28 Разрешить SVCHOST.EXE Запуск сетевого приложения c:\windows\system32\hpbpro.exe

    задумался, проверил файл антивирусом - ничего, потом просто удалил его и все прекратилось. Как по мановению волшебной палочки! Проблем пока никаких не испытываю вследствие этого) Буду рад, если я чем-то смог помочь.

  11. #10
    Junior Member Репутация
    Регистрация
    23.12.2008
    Сообщений
    14
    Вес репутации
    33
    Спасибо всем, кто откликнулся.
    Проблема решена.

    Я воспользовался предложенной мне программой wwdc.exe и закрыл порты, не только 135.
    Никаких уведомлений.
    Эти порты, как я понял, почти не используются, при этом являются дырками для зловредов.
    Так что закрывать можно безболезненно.

    sharkiff, эх! Жалко не сохранились логи. Я бы с удовольствием проверил бы что это.


    Тему можно закрывать.
    Ещё раз всем большое спасибо!

Похожие темы

  1. Загадка синего экрана смерти
    От Everest в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 09.06.2009, 19:45
  2. блокирование входящих TCP-пакетов
    От no pasaran в разделе Общая сетевая безопасность
    Ответов: 62
    Последнее сообщение: 18.01.2008, 02:04
  3. Загадка.
    От Палыч в разделе Оффтоп
    Ответов: 8
    Последнее сообщение: 10.12.2006, 19:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00951 seconds with 16 queries